O GitHub Advisory Database é o maior banco de dados de vulnerabilidades em dependências de software.
Também permite que os gerentes/colaboradores do repositório discutam e corrijam uma vulnerabilidade privadamente antes de divulgá-la no banco de dados.
Embora fosse útil às vezes, não tinha nenhuma contribuição da comunidade, mas apenas fontes verificadas.
Agora, para adicionar mais informações ao banco de dados e aumentar a conscientização dos avisos de segurança, o GitHub abriu o banco de dados para a contribuição da comunidade.
Em outras palavras, qualquer colaborador de código aberto agora pode adicionar mais informações para uma vulnerabilidade ou compartilhar qualquer outro insight que tenha.
Em última análise, deve ajudar a melhorar o estado da segurança de software de código aberto. Vamos destacar mais detalhes sobre isso.
Dados de segurança gratuitos e abertos
Com o GitHub abrindo seu banco de dados de segurança, o Advisory Database foi listado em um novo repositório público licenciado sob uma licença Creative Commons.
No geral, as informações disponíveis sobre o Advisory Database existentes e o novo repositório público (combinado) devem beneficiar a indústria e a comunidade.
Os avisos no repositório usam o formato Open Source Vulnerabilities (OSV) para manter as coisas convenientes para todos.
Oliver Chang, engenheiro de software da Equipe de Segurança de Código Aberto do Google, disse:
"Para que o gerenciamento de vulnerabilidades em código aberto seja dimensionado, os avisos de segurança precisam ser amplamente acessíveis e facilmente contribuídos por todos", "O OSV fornece essa capacidade".
A disponibilidade do banco de dados de segurança e a capacidade da comunidade de contribuir com seus insights/conhecimentos devem aprimorar as informações disponíveis.
Contribuindo para a Security Advisory
A partir de agora, qualquer colaborador de código aberto pode usar um pull request para adicionar informações ao repositório público de avisos de segurança.
Para começar, você precisa navegar pelos avisos listados e, em seguida, acessar os detalhes. Se achar melhor, você pode adicionar mais informações sobre a vulnerabilidade, você pode selecionar "Suggest improvements for this vulnerability".
Aqui, você receberá um formulário onde poderá adicionar os detalhes necessários e enviar suas sugestões de melhoria.
As solicitações/adições de pull serão revisadas pelos mantenedores do projeto e pelos pesquisadores de segurança do laboratório GitHub Security. Portanto, uma solicitação de retirada não significa que as informações serão adicionadas ao banco de dados, está sujeita à aprovação.
Suporte comunitário essencial para proteger cadeias de fornecimento de software
Com o grande número de dependências e ferramentas de software de código aberto, só faz sentido envolver todos os interessados em melhorar as informações disponíveis para vulnerabilidades de segurança.
Cada dica e truque adicionado ao banco de dados deve ajudar desenvolvedores, mantenedores de repositórios e outros a proteger suas ferramentas, ao mesmo tempo em que podem ajudar seus usuários a mitigá-los rapidamente.
Quanto mais consciência e informação sobre vulnerabilidades conhecidas, mais fácil é corrigi-las ou enfrentá-las.